Descubre que hacer cuando se escucha de una vulnerabilidad 0 day que puede afectar la organizacion

 Las vulnerabilidades son el pan nuestro de cada día, a diario son reportadas cerca de 7 vulnerabilidades críticas, en promedio cada dos meses se reporta una vulnerabilidad 0 day acerca de la cual nadie tenía conocimiento.

Ahora, te muestro como debes tratar con esta clase de vulnerabilidades en cuatro pasos:

• Identificación: Se analiza si la vulnerabilidad está presente en los dispositivos de la organización.
• Evaluación: se verifica si la vulnerabilidad ha sido explotada. Si no ha sido explotada, entonces se trata, pero si fue explotada, lo más recomendado es abrir un caso de incidente de seguridad y aplicar todo el protocolo para el tratamiento de estos casos.
• Remediación: Se aplican el tratamiento de la vulnerabilidad: parche, reconfiguración, extracción completa, aceptación o mitigación. 
• Reporte y lecciones aprendidas: Si el sector lo amerita, se debe reportar el caso ante las autoridades competentes, dejar histórico acerca del caso y plantar las lecciones aprendidas a que haya lugar.  

Eta es la forma organizada sugerida por los organismos de control para tratar esta clase de vulnerabilidades. 

"Si no sé si estoy inseguro, entonces estoy seguro" a esto es lo que llamamos "seguridad por oscuridad" y es una de las prácticas más peligrosas que puede seguir una organización. Recuerde hacer análisis de vulnerabilidades periódicos y análisis fastrack para identificación de vulnerabilidades 0 day.

Cuatro puntos a tener en cuenta cuando desarrollas un plan de gestión de vulnerabilidades

Cada día en promedio se descubren aproximadamente ocho vulnerabilidades críticas, detectarlas y tratarlas a tiempo, te garantizará un nivel de riesgo bajo y una protección adecuada de la información de tu organización. 

Incluye estos cuatro puntos en tu plan de gestión de vulnerabilidades para mejorar los indicadores de gestión:

• Visibilidad: incluya dentro de la gestión de vulnerabilidades todos los activos de software y hardware, teniendo en cuanta los sistemas operativos, componentes de infraestructura, aplicaciones y servicios.
• Planificación: Debe existir un responsable de aplicar las remediaciones en cada uno de los activos que se detecten vulnerables. 
• Priorización: Determine qué tan critico es cada activo para el negocio y de acuerdo con la criticidad de la vulnerabilidad, priorice las remediaciones.  
• Verificación: Una vez aplicada la remediación se debe verificar que la vulnerabilidad haya sido cerrada. 

Tenga en cuenta estas recomendaciones cuando desarrolle el plan de gestión de vulnerabilidades y ejecútelas de forma periódica, recuerde, lo recomendado es que cada ciclo sea mensual, pero si tiene infraestructura crítica, reduzca este tiempo lo más corto posible. 

Con esto logrará reducir su superficie de ataque y tendrá un monitoreo continuo de vulnerabilidades.

Conoce los diez términos más utilizados de riesgos en seguridad de la información explicados de forma fácil de digerir.

En este post vamos a ver la principal terminología que se utiliza cuando se habla de riesgos de seguridad de la información. Ilustraremos estos términos con un ejemplo. 

Empecemos por la siguiente definición y vamos a revisar cada una de las palabras resaltadas para definir los primeros cinco términos:

El riesgo es la probabilidad de que una amenaza se aproveche de una vulnerabilidad en un activo para causar un impacto los objetivos del negocio. 

• Riesgo: Efecto de la incertidumbre sobre los objetivos. 
• Probabilidad: Posibilidad de que algo suceda.
• Amenaza: Causa potencial de un incidente no deseado, que puede causar daños a un sistema u organización.
• Vulnerabilidad: Debilidad de un activo o control que puede ser explotado por una o más amenazas.
• Impacto: consecuencia de la materialización de una amenaza.

Un ejemplo que involucre estas definiciones puede ser este:

La organización no cuenta con protección de aplicaciones web, por lo tanto, la probabilidad de que un delincuente informático pueda dejar sin servicio el portal transaccional de la organización es alta y su impacto será catastrófico. 

Existe un gran número de metodologías para hacer gestión de riesgos, sin embargo, la mayoría de ellas concuerdan con las siguientes definiciones:

• Criterios de riesgos: Términos de referencia contra los cuales se evalúa la importancia del riesgo.
• Identificación de riesgos: Proceso de búsqueda, reconocimiento y descripción de riesgos.
• Análisis de riesgos: Proceso para comprender la naturaleza del riesgo y para determinar el nivel de riesgo.
• Evaluación de riesgos: Proceso de comparar los resultados del análisis de riesgo con los criterios de riesgo para determinar si el riesgo y / o su magnitud es aceptable o tolerable.
• Gestión de riesgos: Actividades coordinadas para dirigir y controlar una organización con respecto al riesgo.

El propósito de la gestión de riesgos es identificar anticipadamente los riesgos para tratarlos antes de que estos se materialicen y puedan impactar los objetivos del negocio.

Si desea conocer más términos relacionados con seguridad de la información, puede consultar el siguiente link https://normaiso27001.es/referencias-normativas-iso-27000/

Brincando por los cinco pasos para la gestión de vulnerabilidades informáticas para mejorar la ciberseguridad

En este post veremos los pasos sugeridos que debes llevar a cabo para la ejecución de un plan de gestión de vulnerabilidades en la organización. 

Empecemos por la siguiente definición: La gestión de vulnerabilidades es un proceso cíclico que busca debilidades en el software o en el hardware. Estas vulnerabilidades pueden llegar a comprometer la seguridad de la información. 

Para realizar esta tarea de forma organizada, tenemos cinco pasos los cuales vamos a describir a continuación:

• Identificar: Aquí definimos el alcance del plan, los equipos que vamos a evaluar, recuerda que actualmente todo dispositivo conectado a la red es un posible riesgo de seguridad por lo que se deben evaluar todos los equipos conectados a la red. 
• Evaluar: Para la gestión de vulnerabilidades se deben evaluar los equipos con credenciales administrativas, estos te permite ver el total de las vulnerabilidades a las cuales están expuestos tus equipos. 
• Analizar: No todas las vulnerabilidades críticas son "críticas", aquí debes evaluar y priorizar que es lo que debes atender primero, es decir, debes desarrollar un plan de remediación donde priorices el cierre de vulnerabilidades en los activos más críticos.
• Remediar: Desarrolla el plan de remediación diseñado en el paso anterior, recuerda que para algunos equipos críticos debes llevar un plan de control de cambios donde esté incluido un rollback en caso de que no funcione la remediación.
• Medir: indicadores como, tiempo de detección, tiempo de remediación o ventana de exposición, te pueden ayudar a ver el mejoramiento del plan de gestión de vulnerabilidades. Compara vulnerabilidades nuevas, persistentes y mitigadas en cada ciclo para ver la evolución de la mitigación de las vulnerabilidades.

Adicionalmente, ten en cuenta estos tips cuando desarrolles tu plan:

• Incluye los equipos de red, estos también tienen vulnerabilidades.
• Incluye los equipos de VoIP, nada más crítico que se intercepte una llamada.
• Periódicamente significa periódicamente, te recomiendo realizar una evaluación por lo menos una vez al mes.
• Utiliza software de pago, el desarrollo de software para detección de vulnerabilidades va más rápido que en el software libre.
• Si no tienes el software o el personal adecuado, contrata el servicio he inclúyelo dentro del plan.

Estos son los cinco pasos básicos que debe contemplar un plan de gestión de vulnerabilidades, puedes adicionar los que consideres pertinentes de acuerdo a las necesidades de tu organización.

Conoce las cinco formas más comunes de ataques a la información de tu organización y como prevenirlas

Proteger la información de las organizaciones es una tarea de nunca acabar, diariamente aparecen nuevas formas en las que los atacantes quieren hacerse con los datos de tu organización para usarla con fines fraudulentos. En este post conocerás las cinco formas más comunes que utilizan los delincuentes para acechar tus datos.

Data leaks: algunas veces no es que los atacantes sean buenos, solo que descuidamos la información. Revisa periódicamente: permisos asignados, configuraciones de servicios y de seguridad. 

Phishing: Los usuarios finales están en constante ataque por lo que mantenerlos capacitados evitará que caigan en esta clase de ataques que por lo general son vía correo electrónico. 

Pérdida, robo, préstamo y craqueo de contraseñas. La gestión adecuada de contraseñas deberá ser una de las políticas de seguridad que más deben tener presentes todos los usuarios de la organización. Préstamo de contraseñas y contraseñas débiles son las acciones más comunes.

Ransomware: El secuestro de datos y cifrado no autorizado de información es una de las prácticas que más genero ingresos a los atacantes en el año 2020 y lo que lleva del presente. Mantenga los equipos actualizados, el antivirus con protección anti ransomware, control sobre la navegación y una copia de respaldo fuera de línea. 

Vulnerabilidades: Revise periódicamente la presencia de vulnerabilidades en todos los equipos de la organización para tomar las acciones de tratamiento lo más rápido posible. Recomendado: semanal, mínimo: mensual, periodo más largos pondrán en mayor riesgo los datos de la organización, evalué que tan importantes son.

Estas son las cinco formas de ataques más comunes para la mayoría de organizaciones, existen otras formas que dependen del sector de tu organización o de la clase de atacantes. Sigue las recomendaciones y mantente informado.

Desde donde, como y cada cuanto hacer un análisis de vulnerabilidades

En este post veremos las recomendaciones básicas acerca de la ejecución de pruebas de análisis de vulnerabilidades, desde donde ejecutarlas, como hacerlo y su periodicidad. 

El ejercicio de un análisis de vulnerabilidades puede llegar a ser una tarea fácil si tienes el escenario claro y los objetivos definidos. 

Esta tarea no es tan sencilla como poner una dirección IP en un escáner y dar clic en escanear. Para hacer un análisis de vulnerabilidades consistente, debes aplicar conceptos como, desde donde ejecutar las pruebas, como debes ejecutarlas y cada cuanto debes hacerlo.  

Veamos el primer concepto: desde donde. Debes tener en cuenta que lo más recomendado es que el escáner este dentro de la misma VLAN donde están los equipos objetivos. Si realizas el escaneo desde una VLAN diferente hacia donde se encuentran los equipos objetivos, entonces deberás abrir todos los puertos para la dirección IP del escáner (¿Qué crees que va a decir el ingeniero de seguridad?). 

Segundo concepto: cómo. Si es un escaneo de seguridad para cierre de vulnerabilidades, lo más recomendado es que realices un ejercicio con credenciales, es decir, con usuario y contraseña de administración, esto permitirá verifica la aplicación de parches, la presencia de software obsoleto o con vulnerabilidades dentro de los equipos objetivos.

Tercer concepto: cada cuanto. Lo recomendado es ejecutar el análisis de vulnerabilidades tan frecuentemente como sea posible y mínimo una vez al mes. 

Hace 18 días fue descubierta una vulnerabilidad crítica en el sistema operativo Microsoft Windows que compromete la integridad, disponibilidad y confidencialidad, no requiere privilegios y es fácil de explotar. ¿En cuántos equipos de tu organización esta presente esta vulnerabilidad? ¿Ya tienes un plan de mitigación?

Estos son los tres conceptos básicos para un análisis de vulnerabilidades consistente, la combinación de ellos te permitirá ver cosas como, el punto de vista de un atacante desde la VLAN de usuarios hacia la VLAN de servidores, asuntos con la configuración del firewall, entre otras cosas. 

Como siempre, la aplicación de estos conceptos dependerá de cada organización, sus objetivos de negocio y la normatividad que deba cumplir, por lo demás, el seguir estas recomendaciones te mantendrá un paso adelante en ciberseguridad.

Me han encriptado los datos y me piden rescate: has sido víctima de ransomware, conoce que hacer y como evitarlo.

El ransomware se ha convertido en la forma preferida de los delincuentes para conseguir dinero fácil, en este post te voy a enseñar lo que debes tener en cuenta para prevenir ser víctima de estos estafadores. 

Un ransomware o «secuestro de datos» en español, es una técnica de ataque dañina que encripta (cifra) los archivos de un computador pidiendo un rescate en moneda digital (bitcoin) a cambio de liberar los archivos secuestrados.

La principal fuente de propagación es a través del correo electrónico, mediante los archivos adjuntos infectados o un link a un sitio infectado previamente. Una vez el ransomware se encuentra dentro del computador, este procederá a cifrar la información contenida dentro del equipo y buscará propagarse a otros equipos que estén dentro de la red. 

Personalmente esto es lo que debes hacer para evitar car en este tipo de ataques:

• No abras correos electrónicos de personas que no conozcas. 
• No abras los archivos adjuntos de personas desconocidas.
• Realiza backup en un medio externo como una memoria USB, un disco duro portátil o la nube.
• Cuando termines el backup debes desconectar el medio, ya que el ransomware actual es capaz de cifrar el backup.
• Utiliza un software antivirus robusto que tenga protección avanzada, los antivirus gratuitos no son la mejor opción.

Ahora, como empresa puedes hacer lo siguiente:

• Capacita mínimo dos veces al año a tus usuarios finales en temas de prevención de ransomware.
• Realiza pruebas de ingeniería social por un tercero para medir el nivel de aprendizaje de tus usuarios.
• Incluye dentro de tu infraestructura el servicio de Email Secure Gateway, el cual es un servicio que detiene el acceso de hackers, spam, virus o ransomware a tus servidores de correo o buzones de usuario final.
• La mayoría de los antivirus actuales tienen un módulo de antiransoware, propenda porque este siempre activo.

Consejo: algunas veces los archivos adjuntos vienen encriptados (cifrados) para prevenir que el servicio automatizado de antiransonware los detecte, he incluyen la clave para desencriptarlos dentro del mensaje de correo, "Por favor, no haga esto, posiblemente puede llegar a ser víctima de ransomware". Consúltelo con su servicio de soporte.  

Si llegaste a ser víctima de esta clase de ataques, lo recomendado es que no pagues rescate, hacer esto no te garantiza la recuperación de los datos. 

Para manejar la situación, empieza por revisar si ya existe una solución al tipo de ransomware que te atacó, esto lo puedes hacer en el siguiente sitio web: https://www.nomoreransom.org. 

Segundo, recupera tu información de la última copia de respaldo, este es el motivo por el cual siempre se recomienda el mantener un backup actualizado. 

Este es el kit básico para prevenir los ataques por ransomware, asesórate de un especialista para ver que más puede hacerse de acuerdo con la arquitectura de tu empresa. 

Conoce como hacer un análisis de vulnerabilidades efectivo y no morir en el intento

Siempre que explico el tema del análisis de vulnerabilidades lo comparo con una casa que acabas de comprar y para asegurarla físicamente le pides a un especialista en seguridad física que vaya y la revise para ver que posibles problemas de seguridad pueda tener. 

Si no le prestas tus llaves, es especialista va y revisa lo que pueda ver desde la parte externa de tu casa, como está la puesta principal, las cerraduras, las ventanas, revisará si tienes rejas o si es posible romper una ventana para ingresar. A esto le llamo análisis de vulnerabilidades sin credenciales, sirve para ver el punto de vista de un atacante externo.

Ahora si le das las llaves de la casa al especialista para que ingrese y revise toda la casa, podrás detectar problemas externos e internos como fuga de gas, llaves goteando, pisos en mal estados, puertas del jardín interno en mal estado entre otras cosas. A esto le llamo análisis de vulnerabilidades con credenciales, como puedes ver, son mucho más completas que las anteriores.

Si las pruebas de seguridad son realizadas por personal interno, mantén auditoría del uso que se les da a estas las credenciales, ya que deberán tener los máximos privilegios posibles. Evita usar credenciales administrativas de TI para pruebas de seguridad, usa un usuario diferente que puedas identificar fácilmente en un análisis forense. 

Ahora, si las pruebas son contratadas, solo autoriza el acceso a los equipos que se les va a hacer pruebas de seguridad y cámbialas de inmediato cuando finalicen las pruebas. Recuerda tener firmado un acuerdo de confidencialidad que protejan los intereses de tu organización. 

Como siempre, realiza análisis de vulnerabilidades lo más frecuente posible, (recomendado mensual).

Algunas empresas prefieren no hacer análisis de vulnerabilidades de forma frecuente o a todos los equipos porque les van a aparecer muchas vulnerabilidades críticas o altas, la pregunta es: ¿Qué prefieres, saber cuáles son tus vulnerabilidades y poderla remediar lo más pronto posible o no saber los problemas que tienes y por donde te pueden atacar?

Recuerda realizar análisis de vulnerabilidades de forma frecuente, con credenciales y al mayor número de equipos conectados a tu red incluyendo la nube.

Conoce el porqué es importante el análisis de vulnerabilidades en tu organización.

En este post vas a ver el porqué debes realizar análisis de vulnerabilidades en tu organización y los motivos por los cuales debes propender para que se haga de forma periódica (mensual).

La mayoría de las organizaciones a las que no les interesa la ciberseguridad, esgrimen algunas de las siguientes frases para intentar demostrar que la ciberseguridad no es necesaria:

• Nunca nos han jaqueado.
• Los sistemas siempre funcionan adecuadamente.
• No hemos tenido problemas de seguridad informática.
• Parchamos periódicamente.
• Tenemos un firewall y un antivirus.
• No tenemos presupuesto.

El asunto con esto de lo digital es que existen dos grupos de delincuentes, los primeros quieren que te des cuenta de que has sido atacado, por ello te secuestran información, te bloquean los servicios y te piden dinero a cambio. Son difíciles de localizar, generalmente la seguridad aquí es de forma reactiva, solo cuando se evidencia un ataque es que se toman las medidas de control las cuales suelen ser mucho más costosas que las preventivas:

El segundo grupo, en mi concepto los más peligrosos, son los que no quieren que te des cuenta de que te han jaqueado. Pueden ingresar en tus sistemas, copiar tu información fuera de la organización, obtener claves de acceso privilegiado y mantener equipos comprometidos o secuestrados (entre otras cosas). Si no tienes los recursos adecuados, es difícil que logres detectar un tipo de ataque de esta magnitud.  

Todo comienza con la seguridad preventiva, por ello siempre es recomendado un análisis de vulnerabilidades de forma periódica, para detectar aquellas vulnerabilidades que pueden llegar a poner en riesgo los datos de tu organización. 

Si nunca ha hecho un análisis de vulnerabilidades podemos tener con certeza uno de estos tres escenarios:

• Te jaquearon y no te diste cuenta.
• Estás jaqueado y no lo sabes.
• Te van a jaquear y no te vas a dar cuenta. 

Puedes comprar el software y capacitar a tu personal para que lo gestione, para esta tarea existe una gran variedad de software entre lo cuales se destacan: Tenable, fabricante de Nessus professional, Rapid7, Qualys, openvas, entro otros. Mi recomendado por calidad, facilidad de uso, experiencia y facilidad de despliegue es Tenable.

También puedes contratar el análisis de vulnerabilidades como servicio, ActivosTI tiene planes interesantes que te ayudaran a mantener las vulnerabilidades controladas a un bajo costo. Puedes contactarlos vía WhatsApp business.

Para que sirve un análisis de riesgos en tecnología.

 Si realmente quiere abordar adecuadamente el tema de ciberseguridad en su organización entonces debe empezar por este aspecto: el análisis de riesgos, ya que esto le permitirá definir proyectos e iniciativas que le ayudaran a atacar la ciberseguridad de forma organizada.  

El análisis de riesgos consiste en evaluar el riesgo al que está expuesta la organización y en concreto, los activos. Aquí la palabra activo se refiere a equipos, personas o lugares (entre otros) que contenga información y tenga valor para la organización, por lo tanto se debe proteger. 

A continuación veremos un conjunto de fases que son comunes a las metodologías de análisis de riegos:

Fase 1: Determine el alcance que va a tener el análisis de riesgos. En la mayoría de los casos cuando se está empezando con riesgos, el alcance es el área o departamento de Tecnología Informática.

Fase 2: Identifique claramente los activos que van a ser evaluados, recuerde que acá, un activo es algo que tiene o procesa información y que adicionalmente tiene valor para la organización. 

Fase 3: Identifique las amenazas a las que están expuestos los activos. Por ejemplo: Internet, incendios, inundaciones, virus etc.

Fase 4: Aquí es donde ingresa el análisis de vulnerabilidades técnicas el cual evalúa la existencia de vulnerabilidades en el hardware o software de la organización, adicionalmente también se debe tener  en cuenta la evaluación de vulnerabilidades no técnicas como por ejemplo personal no capacitado.

Fase 5: Un control es algo que se tiene para evitar que se materialice un riesgo, por ejemplo un antivirus, eso es un control que se tiene para evitar los virus, ya teniendo esto claro, en esta fase se analizan los controles existentes como por ejemplo el firewall, antivirus, copias de respaldo entre otros. 

Fase 6: En esta fase se puede calcular en riesgo con base en la información recolectada de activos, amenazas, vulnerabilidades y controles.  

Fase 7: Una vez evaluados los riesgos y habiendo definido el nivel de riesgo aceptable, se procede a tratar los riesgos que superen el nivel definido para lo cual existen cuatro estrategias:

• Transferir el riesgo: la compra de un seguro es un ejemplo de la transferencia de un riesgo. 
• Eliminar el riesgo: eliminar el servicio de Internet gratuito para visitantes. 
• Asumir el riesgo: cuando se tienen aplicaciones implantadas en sistemas obsoletos, la organización decide asumir el riesgo porque no tiene como solucionarlo.
• Mitigar el riesgo: esta es la estrategia más común y consiste en aplicar controles para reducir el nivel de riesgo, un ejemplo es la adquisición de nueva tecnología como firewalls modernos. 

Ya que el volumen de información que se maneja en un ejercicio de análisis de riesgos es bastante alto, lo recomendado es que apoye de una solución de software, esto le ahorrará, tiempo y esfuerzo.

Los resultados del análisis de riesgos le permitirá proponer proyectos e iniciativas orientados a proteger la información de su organización. 

En resumen, el análisis de riesgos sirve para identificar los activos críticos para la organización, al igual que el riesgo al cual están expuestos. 

Si desea mayor información o quiere contratar servicios, por favor use este formulario: https://www.activosti.com/contact.html

Quiere mayor seguridad en sus activos digitales: hardening

En el mundo de la ciberseguridad, realizar análisis de vulnerabilidades es una práctica común para saber qué control aplicar en aras  de reducir  el riesgo, pero existen vulnerabilidades que no se pueden descubrir mediante un análisis de vulnerabilidades estándar, aquí en donde entra al juego el hardening.

Hardening: Conjunto de actividades que son llevadas a cabo para “reforzar” al máximo posible la seguridad de un equipo.

Estas son algunas de las tareas que se realizan en un proceso de hardening:

• Suprimir servicios innecesarios.
• Desactivar o eliminar usuarios no necesarios.
• Desinstalar software no requerido.
• Desactivar funciones no necesarias.
• Cerrar accesos no utilizados.
• Asignar contraseñas fuertes.
• Endurecer las configuraciones.  

Para la ejecución de estas tareas existen en el mercado plantillas prediseñadas que los técnicos pueden ajustar de acuerdo a las necesidades o a los requerimientos que en temas de regulación tenga la organización. Las más utilizadas son CIS, DISA y NSA. Tenable tiene el software necesario para verificar la correcta implementación de las plantillas y para saber cuándo uno de los controles puesto ha sido alterado.  

Para la realización de estas labores se requiere de personal altamente calificado, ya que es una labor que requiere alto conocimiento técnico acerca del tema, por lo que se recomienda capacitar al personal en estas labores o contratar los servicios con una empresa especializada.

Si desea ir un paso más allá en temas de protección de información digital, el hardening le podrá ayudar en reducir la superficie de exposición de sus activos digitales.

Ciber-resiliencia: ¿Que tan rápido se puede recupera de un ciberataque?

Por definición: 

“capacidad de la organización para recuperarse de forma rápida ante un ciberataque.”

Ya se han tratado temas de riesgos digitales, amenazas cibernéticas, vulnerabilidades, activos y otros más, ahora, la respuesta a la siguiente  pregunta le permitirá saber que tan robusta es su organización en términos de ciberseguridad: ¿Qué tan rápido se puede recuperar de un ciberataque?

La respuesta a esta pregunta lo va a posicionar pasos adelante o pasos atrás de su competencia, esto debido a que si su competencia se recupera más rápido, podrá atender más rápidamente el mercado en el cual están compitiendo. Esta respuesta también puede influir en el impacto económico que pueda llegar a tener un ciber-ataque en su organización, ya que si no tiene operativos los servicios, no se puedrá facturar, por ende no habrá ingresos económicos. 

Tres de las ventajas de una organización ciber-resilente:

• Reducción del impacto económico
• Ventaja frente a la competencia
• Gestión y tratamiento de riesgos

Estos son los pasos recomendados para que la organización sea ciber-resilente:

Evaluación: Evaluar los riesgos poniendo la vista en la recuperación ágil de la operación en el caso de ocurrir un ciberataque.

Protección: Elegir los controles adecuados para proteger y mantener la operación, iniciando con los servicios básicos de la organización.

Monitorización: El monitorear contantemente del desempeño de los controles seleccionados y su correcta operación le darán esa ventaja que necesita para tomar las decisiones adecuada en el momento oportuno.

Solución: Aplicar las acciones necesarias para mejorar los controles de acuerdo con los datos obtenidos de la monitorización del desempeño de los mismos.

Recuperación: Aquí es importante abordar los temas de “plan de recuperación de desastres”, “plan de continuidad del negocio”, es saber qué hacer en el caso de que los controles fallen y se deba mantener la operación de la organización.

Ciber-resilente: recuperar la operación de los servicios básicos lo más rápido posible.

A menor tiempo de recuperación de los servicios esenciales de la organización, mayor es su grado de ciber-resilencia, por ende, mayor ventaja competitiva, mayores ingresos y  mejor imagen corporativa.

Hechizando palabras para volverlas contraseñas seguras.

Para los administradores, siempre será un dolor de cabeza mantener un solo método de autenticación para sus usuarios: las contraseñas, y más aún cuando los usuarios optan por poner contraseñas que les sea fáciles de recordar y por ende fácil de que un perpetrador  las adivine. Vamos a ver un método para elegir una contraseña fácil de memorizar y difícil de adivinar. 

Pasemos primero por la definición de lo que es autenticación: 

“La autenticación es el acto o proceso de confirmar que algo (o alguien) es quien dice ser.”

Son cuatro los factores que un humano  puede utilizar para autenticarse:

1. Algo que el usuario sabe (ejemplo: una contraseña,  una clave, un PIN de 4 dígitos)
2. Algo que el usuario es (ejemplo, la huella digital, el patrón de la voz)
3. Algo que el usuario tiene (ejemplo, tarjeta de la identificación, token físico, teléfono celular)
4. Algo que el usuario hace (ejemplo, reconocimiento de voz, firma).

La combinación de dos o más factores se le conoce como múltiple factor de autenticación, y es este, uno de los controles más recomendados para ser implementados dentro de la organización, ya que si un perpetrador logra hacerse con la contraseña de un usuario, también va a necesitar el segundo factor de autenticación para tener acceso a la información.

Por el momento nos centraremos en la elección de contraseñas seguras, dejando el tema de múltiples factores de autenticación para otro capítulo.

Una contraseña segura deberá tener una combinación de las siguientes características:

• Tener más de 15 caracteres.
• Combinación de mayúsculas y minúsculas.
• Mínimo un número.
• Mínimo un carácter especial.

El primer paso es la elección de una frase molde que nos sea familiar, ya sea el nombre de una serie de televisión, una película, la frase de una canción o la frase de una poesía. Para este ejemplo voy a elegir el nombre de una serie de televisión: 

la ley de los audaces

A partir de esta frase molde vamos a transformarla para usarla con contraseña segura, para este ejemplo vamos a trabajar:

Suprima los espacios, solo con este movimiento ya tenemos una contraseña de 17 y otra de 22 caracteres:

laleydelosaudaces  (ya tienes 17 caracteres)

Paso 1. Cambie primera letra “e” por el numero 3

Lal3ydelosaudaces

Paso 2. Cambie las tres últimas letras a mayúsculas:

Lal3ydelosaudaCES

Paso 3. Cambie la palabra “los” por tres signos $$$

Lal3yde$$$audaCES

Solo tres pasos le ayudaran a tener una contraseña segura, estos son algunos ejemplos adicionales para que adivine que tres pasos se usaron para hechizar una contraseña segura:

formal	hechizado
ciberseguridad en proceso	ziverseguridad$2020$PROCESO
juego de tronos	jUego$de$Tr0n0z
hasta la vista baby	HASTA0la1vista3BABY…
Huston tenemos un problema	Tenemos#20UN20#Problema
El dinero nunca duerme	DINer0.NUNc4.DUErm3.

Adicionalmente, recuerde que las contraseñas son como la ropa interior: No puedes dejar que nadie la vea, debes cambiarla regularmente y no compartirla con extraños.Puede utilizar el número de pasos que crea conveniente pero la utilización de muchos pasos al inicio hace difícil el implementar la metodología, se sugiere empezar con solo tres pequeños pasos no complejos y a medida que vaya progresando, ir aumentando su complejidad. 

La escalera de ciberseguridad, un ascenso seguro para proteger la información digital.

En  este post analizaremos la herramienta “escalera de ciberseguridad” la cual nos va a permitir ver, desde otro ángulo, que tan avanzado está en el componente de ciberseguridad de la organización.

 

Esta herramienta consta de siete peldaños o escalones los  cuales de acuerdo con nuestros avances, nos permitirán determinar qué tan arriba estamos en la protección de la información digital, para ello, se evalúa la inclusión de tareas, proyectos o metodologías al componente de ciberseguridad. 

Nota: Recuerde que de acuerdo con post anteriores, se recomienda que la  frecuencia del análisis de vulnerabilidades sea mensual. 

El punto de inicio de todo organización es proteger su perímetro y sus computadores internos ya sean estos servidores o estaciones de trabajo, eso es lo mínimo con lo que se debe empezar, a partir de ahí, se pasa al primer escalón que es el análisis de vulnerabilidades, el cual  revisar de forma automática las vulnerabilidades conocidas hasta el momento en los equipos tecnológicos que tenemos dentro de la organización (la nube, también hace parte de la organización).

El segundo escalón son las pruebas de hacking ético o pentest (para ver la diferencia, puede revisar post anteriores). Esta es la forma manual de hallar vulnerabilidades por parte de un experto en ciberseguridad. Un gran número de vulnerabilidades no puede ser hallado de forma automática, por lo que se recomienda contratar esta clase de pruebas o tener un especialista en nómina. 

El tercer escalón es la evaluación de controles, dentro de las tareas más comunes esta la revisión de  los firewalls (UTM) y sus diferentes módulos para verificar que estén haciendo su trabajo, en especial revisión de las reglas del firewall las cuales es una práctica común el modificarlas y no documentarlas. Otra tarea es verificar que los end point (antivirus avanzados), tengan los módulos necesarios para detener los últimos ataques que han sido reportados (ramsonware o secuestro de información). Otras tareas dependerán en gran parte del tipo de tecnología que tenga la empresa.

El cuarto escalón corresponde a la evaluación de riesgo, para esto lo recomendado es hacerse de una metodología adecuada que le permita evaluar los riesgos a los cuales se encuentra enfrentada su organización. La correcta identificación de los riesgos junto con sus vulnerabilidades, amenazas, impacto y activos jugaran un papel importante en la protección de su información digital. 

Quinto escalón, Evaluación de riesgos de amenazas, esta etapa se centra en evaluar que tanto puede llegar a impactar una amenaza a la organización, todo esto dentro del componente de ciberseguridad.

Sexto escalón, evaluación del marco de ciberseguridad, aquí se evalúa la organización en referencia al marco de ciberseguridad del NIST, del cual ya hemos hablado con anterioridad en este blog. 

Por último, el séptimo escalón, evaluación de la postura de ciberseguridad, esto se refiere al estado de seguridad del hardware, software y políticas de una empresa, su capacidad para gestionar sus defensas y su capacidad de reacción a medida que cambia la situación (según el NIST). Una postura de ciberseguridad eficiente y efectiva requiere una comprensión clara de lo que es importante para su organización y por qué.

Para organizaciones pequeñas lo recomendado es llegar por lo menos hasta el tercer escalón donde se evalúan periódicamente los controles de ciberseguridad existentes, a partir del cuarto escalón, es donde realmente comienza el trabajo continuo en ciberseguridad. 

Tenga en cuenta que cada escalón anterior es insumo para el siguiente escalón hasta llegar a la cima de la escalera. 

Sea cual fuere el escalón donde se encuentra actualmente su organización, recuerde siempre avanzar al siguiente nivel. Entre más arriba este su organización, más protegida va a estar su información digital.